BBC Mundo: los hackers que detuvieron a distancia y en medio de la autopista un Jeep Cherokee
En medio de la autopista, a 112km/hora, primero se enciende solo y al máximo el aire acondicionado, después aparecen fotos extrañas en la pantalla de control, se prende la música a todo volumen y se activan los limpiaparabrisas. Finalmente, cuando ya el conductor aturdido apenas puede seguir conduciendo, se apaga de repente el motor del vehículo, un moderno Jeep Cherokee de 2014.
La escena podría ser de una nueva versión rodante de la película Poltergeist, sólo que sucedió de verdad.
Al volante del carro iba el periodista especializado en tecnología Andy Greenberg, de Wired, que sabía que en algún momento de su paseo por San Louis, en Missouri, algo raro iba a pasar. La advertencia que le habían dado era “pase lo que pase, no entres en pánico”.
Mientras, a 16km de distancia, sentados en el sofa del salón de su casa con dos computadoras en el regazo y entre bromas, dos experimentados hackers hacían sus travesuras informáticas, que quedaron registradas en un video publicado en el sitio web Wired.
Un peligro más que teórico
Pero no era un juego. Esas travesuras son el resultado práctico y visible de un año de trabajo.
Los hackers, Charlie Miller y Chris Valasek, son investigadores de seguridad de IOActive Labs.
“Esencialmente lo que hicimos a través de internet fue tomar el sistema de “entretenimiento e información” y a partir de ahí reprogramamos ciertas piezas del vehículo para poder enviar comandos de control”, le dijo Valasek a la BBC.
Con la técnica que desarrollaron pueden controlar a distancia el vehículo y hacer, por ejemplo, que el volante gire, que el coche frene de repente o inhabilitar totalmente los frenos.
También pueden usarla para objetivos de vigilancia: monitoreando las coordenadas de GPS del auto, midiendo su velocidad y marcando su ruta en un mapa.
Con su investigación, Vasalek quería demostrar que es posible hackear y controlar totalmente un vehículo a distancia.
“Creo que la gente ha teorizado durante mucho tiempo sobre la posibilidad de que haya ataques remotos, así que lo hacemos para que no haya áreas grises desde la perspectiva de los fabricantes sobre lo que es posible hacer”, explicó, añadiendo que el objetivo último es mejorar la seguridad de los vehículos conectados.
Vulnerabilidades en toda la industria
Poco después de conocerse el hackeo del Jeep Cherokee la compañía Chrysler lanzó un patch o parche para corregir la vulnerabilidad de su sistema de entreteniemiento Uconnect.
Este sistema consiste en una computadora conectada a internet que controla el sistema de entretenimiento y navegación de miles de vehículos Chrysler, permite hacer llamadas e incluso ofrece una zona inalámbrica de Wifi.
Pero este tipo de vulnerabilidades de seguridad no son exclusivas de Chrysler: algunos analistas advierten que es un problema amplio en una industria inmersa en una carrera por hacer coches cada vez más inteligentes e interconectados.
De hecho, una compañía inglesa de investigación de seguridad, NCC Group, advirtió este jueves que los sistemas infotainment de varios modelos de vehículos son vulnerables a ataques.
NCC Group solo hizo pruebas en laboratorio, pero descubrió una manera de hackear los autos enviando datos mediante señales de radio DAB (Digital Audio Broadcasting).
Su técnica también ingresa primero en el sistema de infotainment para pasar a controlar después otros sistemas del carro de importancia crítica, como el volante y los frenos.
Además, podría utilizarse potencialmente para afectar a muchos vehículos a la vez.
“Como yo lo veo, cualquier cosa en un vehículo que se comunica con el mundo exterior es un factor potencial de ataque”, le dijo Valasek a la BBC.
“Es un trabajo muy largo, cansino y extenuante, que requiere de un gran conocimiento y de un cuantioso apoyo financiero, pero normalmente es posible hacerlo”, dijo.
“Así que esto no es algo oportunista. Hace falta tiempo, pericia y dinero”, añadió.
Pero el investigador puntualizó que este tipo de hackeos están fuera del alcance de la mayoría de los criminales.
“Pero eso no quiere decir que no haya grandes organizaciones interesadas”, dijo.
El mes que viene durante la convención de seguridad Black Hat de Las Vegas el equipo de investigadores estadounidenses compartirá más detalles sobre su trabajo.